Estamos em meio à discussão sobre o Marco Civil, com polarizações que nem sempre levam em conta conceitos básicos. Como exemplo, a necessidade de definição de “intermediário”, sem a qual podem ser baldados esforços de convergência. Um ponto simples: o “intermediário” deve saber do conteúdo que transporta? A resposta clássica seria “não”. Em contos como “Miguel Strogoff, o correio do Czar”, de J. Verne, o carteiro faz das tripas coração para levar o envelope ao destino. Telefonia e correios ainda hoje trazem essa vedação, agora com o suporte de uma agência de proteção a dados pessoais e ao sigilo. O conceito é antigo: o histórico lema do correio americano reza que “nem a chuva, nem o sol, ou a nevasca impedirão o carteiro…”, e parece ter sua origem em Homero.Hoje há muitos atores que não se encaixam na definição clássica acima, mas isso não significa que os primeiros desapareceram. O risco é o inverso: na avidez de querer “proteger” a comunidade, há tendências de não mais vedar ao intermediário o conhecimento do que transporta. Aliás, estimula-se que entre ativamente no circuito, decidindo o que deve permitir, ou não. Não se pretende aqui examinar a plêiade de diferentes atores e papéis que existem, mas apenas preservar o que nos resta de privacidade. E a ferramenta que nos dá alguma proteção ainda é a criptografia forte, sem esquecermos que a tecnologia, alvo móvel, em sua incorporação do quântico, pode enfraquecer seriamente processos criptográficos antes seguros.
A boa notícia é que, recentemente, notou-se uma reversão na gana de agências de diversos países – notadamente os que compõem os “cinco olhos”, EUA, Inglaterra, Canadá, Nova Zelândia e Austrália – na busca do acesso às chaves criptográficas, via uma “porta dos fundos”. Em um documento conjunto, “Enhanced Visibility and Hardening Guidance for Communications Infrastructure”, apontam riscos de que outros países, abusando da tal “porta dos fundos”, comprometam em larga escala as redes de comunicação. O relatório recomenda que cidadãos e organizações evitem comunicações em texto aberto, e incentiva o uso de criptografia forte. Se antes esses países buscavam formas de quebrar sistemas de criptografia justificando a prática como “algo essencial para a aplicação da lei e o combate ao crime”, recentes ataques de espionagem, como a operação "Volt Typhoon", expuseram os riscos inerentes à criação de vulnerabilidades propositais nos sistemas.
O uso de TLS, Segurança na Camada de Transporte, tem sido a aplicação mais utilizada de criptografia, e é essencial no uso seguro de redes públicas. Se antes os governos citados resistiam à aplicação aberta da criptografia - ela aumentaria seus custos na aplicação da lei - a nova orientação representa uma guinada em favor da segurança e da privacidade. Mantenhamos o otimismo!
(como curiosidade em criptografia resistente, há o manuscrito Voynich, que desafia especialistas há mais de 500 anos. Jorge Stolfi, professor na Unicamp, é renomado pesquisador do Voynich)
===
O texto citado:
https://www.cisa.gov/resources-tools/resources/enhanced-visibility-and-hardening-guidance-communications-infrastructur
Intelligence and Cybersecurity Agencies Urge Use of Encrypted Communications(December 4 & 5, 2024)
Cybersecurity and intelligence agencies from Australia, Canada, New Zealand, and the US have jointly published Enhanced Visibility and Hardening Guidance for Communications Infrastructure. The document serves to underscore the threat posed by Chinese state-sponsored threat actors who have compromised telecommunications networks. The guidance notes that “although [it is] tailored to network defenders and engineers of communications infrastructure, this guide may also apply to organizations with on-premises enterprise equipment.” The US Cybersecurity and Infrastructure Security Agency (CISA) and the FBI have also advised US citizens to avoid using plain text communication channels, recommending encrypted phone and messaging apps "prevent[ing] anyone -- including the app makers -- from accessing the communications of its users."
Editor's Note
[Ullrich] It’s kind of ironic that agencies who lobbied in the past against encrypted communications realize now that the surveillance mechanisms they built into telecom networks are being used against them. This “Volt Typhoon” compromise of multiple telecommunications providers (even outside the US) is the best argument for strong end-to-end encryption.
[Pescatore] Lack of end-to-end encryption of email and attachments still increases overall risk more than this issue. But ideally the publicity around this issue and China’s ease of compromising the major telecom carriers will give politicians the courage to pass badly needed legislation to force major improvements in security at all telecoms and messaging providers – which is needed if email is ever to become safe and trustable. Historical note: logins over the Internet were originally in the clear. In the early 1990s, telecoms providers were routinely compromised with network sniffers that harvested bulk account names and passwords. The growth of the World Wide Web and browsers raised the stakes, and in 1994 Netscape introduced SSL and the US Government released FIPS 140-1 standards for crypto. Finally, in 2001 or so, the US government required all web browsers and servers procured to be FIPS 140 compliant – SSL use for transport security exploded across all industries.
[Murray] Transport Layer Security (TLS) has been the most widespread application of encryption. It is essential to the safe use of public networks. Governments, including the so-called "five eyes" nations have historically resisted the more widespread application of encryption because it raises the cost of law enforcement. This guidance represents a change in favor of national security at the expense of law enforcement.
[Honan] Let this be a case study to those advocating backdoors into encryption protocols for lawful interception purposes: once you introduce a backdoor you have no guarantee that it will not be abused by various actors.
Read more in:
- www.cisa.gov: Enhanced Visibility and Hardening Guidance for Communications Infrastructure https://www.cisa.gov/resources-tools/resources/enhanced-visibility-and-hardening-guidance-communications-infrastructure
- www.zdnet.com: FBI, CISA urge Americans to use secure messaging apps in wake of massive cyberattack https://www.zdnet.com/article/fbi-cisa-urge-americans-to-use-secure-messaging-apps-in-wake-of-massive-cyberattack/
- www.forbes.com: FBI Warns iPhone And Android Users—Stop Sending Texts https://www.forbes.com/sites/zakdoffman/2024/12/06/fbi-warns-iphone-and-android-users-stop-sending-texts/
- www.helpnetsecurity.com: 8 US telcos compromised, FBI advises Americans to use encrypted communications https://www.helpnetsecurity.com/2024/12/05/us-telcos-compromised-fbi-advises-use-of-encrypted-communications/
===
Referência sobre o manuscrito Voynich:
https://revistapesquisa.fapesp.br/o-codigo-voynich/
https://www.ufrgs.br/frontdaciencia/2021/10/25/t12e34-o-manuscrito-voynich/
https://www.nationalgeographic.pt/historia/o-codice-voynich-o-manuscrito-mais-estranho-do-mundo_2944
Nenhum comentário:
Postar um comentário